Microsoft aktualisiert Edge zur Behebung von Sicherheitslücken, die in freier Wildbahn ausgenutzt wurden
Microsoft hat ein zweites Sicherheitsupdate für seinen Browser im Stable Channel veröffentlicht. Nach dem Update vom 2. Mai hat Microsoft die Version 124.0.2478.97 an alle Nutzer verteilt, um Sicherheitslücken zu schliessen, die bereits ausgenutzt wurden.
Microsoft hat einen Fix für CVE-2024-4671 für Microsoft Edge Stable Channel (Version 124.0.2478.97) und Extended Stable Channel (Version 124.0.2478.97) zur Verfügung gestellt, für den das Chromium-Team eine Sicherheitslücke in freier Wildbahn gemeldet hat. Weitere Informationen finden Sie im Leitfaden für Sicherheitsupdates.
Dieses Update enthält auch das folgende Microsoft Edge-spezifische Update: CVE-2024-30055
Laut der Beschreibung auf der CVE- Webseite, CVE-2024-4671, ermöglicht die Sicherheitslücke Angreifern, eine Heap Corruption mit einer speziell gestalteten HTML-Seite auszunutzen. Google berichtet, dass die Sicherheitslücke "in freier Wildbahn" genutzt wird (mit anderen Worten, sie wird bereits für böswillige Angriffe verwendet), daher sollten Sie die neuesten Sicherheitsupdates so bald wie möglich installieren.
Bei der zweiten Sicherheitslücke CVE-2024-30055 handelt es sich um eine Spoofing-Schwachstelle mit geringem Schweregrad, die ausschließlich für Microsoft Edge gilt. Um sie auszunutzen, muss der Benutzer auf einen speziellen Link klicken, woraufhin der Angreifer "begrenzte Informationen" aus dem Browser des Opfers erhalten kann.
Der Benutzer müsste auf eine speziell gestaltete URL klicken, um vom Angreifer kompromittiert zu werden. Begrenzte Informationen aus dem Browser des Opfers, die mit der anfälligen URL verbunden sind, können durch den bösartigen Code an den Angreifer gesendet werden. Der Angreifer ist nur in der Lage, den Inhalt des anfälligen Links zu ändern, um das Opfer auf eine bösartige Webseite umzuleiten.
Patches für CVE-2024-4671 und 2024-30055 sind jetzt im Stable Channel und Extended Stable Channel verfügbar. Dabei handelt es sich um eine spezielle Veröffentlichungsoption für Unternehmenskunden, die weniger Microsoft Edge-Updates erhalten möchten. Das Unternehmen liefert neue Edge-Versionen im Extended Stable Channel alle 8 Wochen aus, im Gegensatz zum "normalen" Stable Channel mit seinem 4-wöchigen Veröffentlichungszyklus. Die Idee hinter dem Microsoft Edge Extended Stable Channel ist es, Unternehmenskunden mehr Zeit zu geben, um die neuesten Änderungen und Funktionen des Browsers zu übernehmen.